認証（OAuth2/JWT）をどのように実装しますか？

Question

Accepted Answer

FastAPIは認証を実装するための組み込みツール（`OAuth2PasswordBearer`、セキュリティユーティリティ）を提供し、一般的には**OAuth2パスワードフローとJWTトークン**を使用します。このパターンはトークン発行（ログイン）と保護されたルート上のトークンを検証する依存性を組み合わせています。

## ログイン時のパスワードハッシュ化とJWT発行

```python
from passlib.context import CryptContext
from jose import jwt
from datetime import datetime, timedelta

pwd = CryptContext(schemes=["bcrypt"])    # secure password hashing

@app.post("/login")
def login(form: OAuth2PasswordRequestForm = Depends()):
    user = get_user(form.username)
    if not user or not pwd.verify(form.password, user.hashed_password):  # constant-time check
        raise HTTPException(401, "Invalid credentials")
    # issue a signed JWT containing the user identity + expiry
    token = jwt.encode(
        {"sub": user.username, "exp": datetime.utcnow() + timedelta(minutes=30)},
        SECRET_KEY, algorithm="HS256",
    )
    return {"access_token": token, "token_type": "bearer"}
```

パスワードは**ハッシュ化**（bcrypt）されます — プレーンテキストで保存されることはありません。有効なログイン时に、**JWT**が発行されます：ユーザーのアイデンティティと有効期限を含む署名付きトークンです。

## 保護されたルート上のトークン検証（依存性）

```python
from fastapi.security import OAuth2PasswordBearer

oauth2_scheme = OAuth2PasswordBearer(tokenUrl="login")   # extracts the Bearer token

def get_current_user(token: str = Depends(oauth2_scheme)):
    try:
        payload = jwt.decode(token, SECRET_KEY, algorithms=["HS256"])   # verify signature + expiry
        username = payload.get("sub")
    except JWTError:
        raise HTTPException(401, "Invalid token")
    user = get_user(username)
    if not user:
        raise HTTPException(401, "User not found")
    return user

@app.get("/me")
def read_me(user: User = Depends(get_current_user)):     # PROTECTED — requires a valid token
    return user
```

`get_current_user`依存性はJWT（署名+有効期限）を抽出して**検証**し、ユーザーを読み込み、保護されたエンドポイントに注入されます — それに依存するあらゆるルートは認証が必要です。

## 認可（ロール/スコープ）

```python
def require_admin(user: User = Depends(get_current_user)):
    if not user.is_admin:
        raise HTTPException(403, "Forbidden")     # authorization check
    return user
# OAuth2 SCOPES provide fine-grained permission control
```

## なぜ重要なのか

認証は本質的かつ**セキュリティ上重要**です — ほぼすべての実際のAPIはルートを保護する必要があり、認証を誤ると深刻な脆弱性が生じます。

FastAPIのアプローチを理解することが重要です：標準的な**OAuth2-password-flow-with-JWT**パターンの構成要素（`OAuth2PasswordBearer`、セキュリティユーティリティ）を提供し、FastAPIの長所を優雅に活用します — ログインエンドポイントは署名付きトークンを発行し、**`get_current_user`依存性**がそれを検証し、それに依存するあらゆるルートをきれいに保護します（FastAPIの慣用的な認証パターン）。

いくつかの側面は正しく実装することが重要です：**パスワードハッシュ化**（bcrypt、プレーンテキストではなく、定時間検証）、**JWT署名と検証**の正確性（署名+有効期限検証）、**認証**（あなたは誰か）を**認可**（何ができるか、ロール/スコープチェックを通じて）と区別すること、秘密鍵を安全に保つことです。

このパターンを安全に実装する方法 — トークン発行、検証依存性、認可 — を知ることは、セキュアなFastAPIアプリケーションを構築するための基本的なシニアレベルの知識です。認証はユビキタスであり、不正に実装された場合の危険な誤りの頻繁な原因であるためです。